Injeção de SQL: FBI orienta empresas a eliminarem vulnerabilidades

A Cybersecurity and Infrastructure Security Agency (CISA) e o FBI divulgaram no fim de março um documento indicando a necessidade de revisões de softwares de grandes organizações, a fim de evitar vulnerabilidades de segurança por injeção de SQL (SQL Injection).

De acordo com o site BleepingComputer, as instituições recomendam o uso de consultas parametrizadas e declarações preparadas para evitar vulnerabilidades que possam levar a infecções via malware. 

Esta abordagem preparatória separa o código SQL dos dados do usuário, tornando impossível para os cibercriminosos injetarem consultas na estrutura.

O que é injeção de SQL?

Injeção de SQL (SQLi) é uma técnica utilizada por hackers para explorar vulnerabilidades em sistemas de gerenciamento de banco de dados. Esses ataques envolvem a inserção de comandos maliciosos em campos de entrada de dados, como formulários da web, com o objetivo de manipular o banco de dados subjacente. 

Essas ações podem resultar em acesso não autorizado a dados confidenciais, violações de segurança e até mesmo o comprometimento total do sistema. 

Como pontuado pela CISA e pelo FBI, é importante implementar medidas de segurança robustas em relação ao SQL, como consultas parametrizadas e declarações preparadas, para evitar a execução de comandos não intencionados.

Consultas parametrizadas são a melhor opção para uma abordagem segura por design, sendo mais efetivas em comparação com técnicas de sanitização de entrada (remover ou modificar dados de entrada). A técnica de sanitização pode ser evitada pelos agentes maliciosos, além de ser difícil de aplicar em escala.

Preocupação dos órgãos internacionais

De acordo com os órgãos de segurança, as vulnerabilidades de SQLi ocuparam o terceiro lugar na lista das 25 vulnerabilidades mais perigosas da MITRE entre 2021 e 2022, sendo apenas superadas por gravações fora dos limites e scripts entre sites.

“Se descobrirem que seu código possui vulnerabilidades, os executivos de alto escalão devem garantir que os desenvolvedores de software de suas organizações comecem imediatamente a implementar mitigadores para eliminar toda essa classe de defeitos de todos os produtos de software atuais e futuros”, disseram a CISA e o FBI.

Incorporar essa mitigação desde o início, começando na fase de design e continuando no desenvolvimento, lançamento e atualizações, reduz o ônus de segurança cibernética para os clientes, e o risco para o público.

Também conforme o BleepingComputer, CISA e FBI emitiram este alerta conjunto em resposta a uma onda de ataques de ransomware que começou em maio de 2023 e atingiu não só grandes empresas, como também várias agências federais dos EUA e duas entidades do Departamento de Energia dos EUA (DOE).

Os ataques de ransomware geraram um valor estimado entre US$ 75 e US$ 100 milhões (entre R$ 375 e R$ 500 milhões) devido às altas solicitações de resgate. 

“Apesar do amplo conhecimento e documentação de vulnerabilidades de SQLi nas últimas duas décadas, juntamente com a disponibilidade de mitigadores eficazes, os fabricantes de software continuam a desenvolver produtos com esse defeito, o que coloca muitos clientes em risco”, complementaram as instituições.

Sua empresa com mais segurança digital

Conte com uma equipe especializada em cibersegurança para proteger os sistemas da sua empresa. Entre em contato com a VNX Partners e saiba como podemos ajudar você e a sua organização.